微软于6月3日更新了其官方支持文档,宣布将停止开发并完全废弃包括LANMAN、NTLMv1和NTLMv2在内的所有NTLM(Windows NT LAN Manager)版本。这一决定标志着微软正进一步推进其安全策略,弃用这一传统的身份认证协议,并鼓励更多企业和用户转向使用Kerberos。
去年10月,微软曾宣布了一项过渡计划,意在逐步淘汰NTLM身份认证方式,为企业和用户提供一个更加安全的身份验证解决方案。微软安全官方博客在今年5月再次强调了对NTLM的弃用计划,并预计将在2024年下半年的Windows 11中全面弃用NTLM。
在最新的支持文档中,微软明确指出,尽管在下一个Windows年度更新和Windows Server更新中,用户仍可以继续使用NTLM协议,但微软将开始逐步将NTLM的调用替换为Negotiate。Negotiate协议将优先使用Kerberos进行身份验证,只有在必要情况下才会调用NTLM。
为实现这一目标,微软主要进行了两方面的努力。首先,微软扩展了Kerberos的应用场景。在Windows 11系统中,Kerberos得到了增强,通过引入IAKerb和本地KDC(密钥分发中心),使得Kerberos能够在多样化的网络拓扑环境和本地账户环境中进行身份验证。
其次,微软修复了现有Windows组件中内置的NTLM硬编码组件。这些组件现在将使用Negotiate协议,从而能够使用Kerberos代替NTLM。这一迁移过程使得这些组件服务能够支持本地和域账户使用IAKerb和LocalKDC进行验证。
NTLM是微软专用的身份认证协议,它基于挑战/响应模型来认证用户和计算机。虽然NTLM在过去为Windows NT系列产品提供了有效的认证方式,但随着安全威胁的不断增加,微软决定逐步淘汰这一协议,并推动用户和企业向更安全的Kerberos过渡。这一举措将有助于提高系统的整体安全性,并保护用户免受潜在的网络攻击。
原创文章,作者:保哥,如若转载,请注明出处:https://www.shizhanxia.com/847.html